Sous reseau ou VLAN - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 10-03-2008 à 10:33:35
quel est l'intérêt d'utiliser les deux en même temps ?
Marsh Posté le 10-03-2008 à 12:12:44
Tu isoles au niveau 2 avec les vlan et tu isoles au niveau 3 via les sous réseaux.
Si tu fais pas de VLAN, que tu fais que des sous réseaux, il suffit de changer d'ip pour être dans l'autre réseau.
Inversement si tu fais différents VLAN mais avec le même réseaux, c'est comment dire sans queue ni tête
Marsh Posté le 10-03-2008 à 18:00:56
Disons que le probleme des VLANs, selon le matos utilisé, ca p-e etre tres chiant.
Marsh Posté le 13-03-2008 à 10:25:38
Si tu veux cloisonner ton réseau et réduire ton domaine de broadcast Ethernet, il te faut des VLAN qui fonctionnent comme des LAN et qui ne peuvent communiquer entre eux que grâce à du routage (niv 3).
Ex :Si tu ne fais que des sous-réseaux IP, un utilisateur qui modifie manuellement son IP aura accès aux autres sous-réseaux alors que si tu as mis des VLAN, s'il modifie son adresse IP, elle ne sera plus routée.
Je sais pas si je suis clair ??
Marsh Posté le 15-03-2008 à 17:51:15
Merci, j'ai bien compris le dernier message qui est tres clair :-)
Marsh Posté le 21-03-2008 à 11:21:59
Je viens me greffer à la conversation, moi j'ai pas compris...
Avec des VLAN par IP, si on change d'IP par celle d'un autre VLAN, on a bien accès au nouveau VLAN ? Non ?
Marsh Posté le 21-03-2008 à 11:23:53
palaud a écrit : Je viens me greffer à la conversation, moi j'ai pas compris... |
Non car les Vlans peuvent etre fixer au niveau des ports de switchs.
Marsh Posté le 21-03-2008 à 11:36:44
oui, mais si on fait du niveau 3, on peut aussi faire du VLAN par port ?
Marsh Posté le 21-03-2008 à 12:20:30
Mais arretez avec votre fameux vlan niveau3.
Ca n'existe pas, c'est une legende, et c'est completement stupide. Le simple fait d'y penser est une aberration.
Reflehissez 2 sec et vous comprendrez .. quand je vois le nombre de fois ou on vois parler de cette connerie, j'arrive pas a comprendre ...
Marsh Posté le 21-03-2008 à 21:12:42
trictrac a écrit : Mais arretez avec votre fameux vlan niveau3. |
?????
Pourtant des switch implémentent les VLAN de niveau 3.
Citation : Le simple fait d'y penser est une aberration. |
Ben moi j'arrive pas à comprendre pourquoi tu dis que ça n'existe pas
Après savoir si c'est utile ou pas est un autre débat.
Marsh Posté le 21-03-2008 à 21:34:05
Le VLAN de niveau 3... toute une histoire...
genre le switch regarde la source du premier paquet qui vient et te met dans le bon VLAN. Il parait que c'est implémenté sur les switchs Nortel mais moi j'en ai jamais vu
En tous cas, je rejoins trictrac, c'est d'une débilité sans nom.
j'ai toujours pas vraiment compris l'utilité du Vlan de niveau 2 avec VMPS non plus ...
Marsh Posté le 21-03-2008 à 21:48:12
dreamer18 a écrit : Le VLAN de niveau 3... toute une histoire... |
C'est à eux que je pensais mais ça ne doit pas être la seule marque.
Remarque l'attribution ne se fait pas forcément par l'adresse IP, mais peut se faire par protocole (un VLAN pour IP, un pour IPX, un pour Apple Talk, etc.)
Quand à la mise en oeuvre, j'ai jamais fait, je reste bêtement au ras des pâquerettes avec des VLAN par ports
Marsh Posté le 21-03-2008 à 21:49:20
ça marche comment le VLAN de niveau 3 quand t'es en DHCP ?
Marsh Posté le 21-03-2008 à 21:57:27
Doit pas être très compliqué. Une trame Ethernet dans le switch est forcément dans un VLAN, donc quand elle ne répond à aucun des VLAN niv 3 du switch, elle sera placée dans un VLAN particulier, si le serveur DHCP est dans ce VLAN , il pourra y répondre, la machine récupère son IP et bascule dans le bon VLAN.
Marsh Posté le 21-03-2008 à 22:02:18
ça sent l'usine à gaz ce truc... au secours
Marsh Posté le 27-03-2008 à 11:59:14
Salut,
Je profite de votre topic pour poser une autre question :
Pour faire du VLAN au niveau des ports du switch, il faut un switch compatible, ça, ok, mais qu'en est-t'il des clients ? Il leurs faut une carte réseau/driver spécial ?
Merci
ps : je pose la question car j'ai entendu que le switch modifiait les entêtes ip, et donc la taille du mtu qui passerait à 1522...
Marsh Posté le 27-03-2008 à 12:17:28
Non, c'est le switch qui tag/détag. Après si tu veux envoyer des paquets déjà tagué aux clients il faut un petit support mais bon en général c'est le cas
Marsh Posté le 27-03-2008 à 13:18:51
Je crois ne pas vraiment cerner l'intéret/concept du VLAN.
Prenons un exemple concret :
J'ai 3 passerelles et 3 sous-réseaux. J'aimerais isoler ces segements physiquement. Actuellement, j'ai prévu d'acheter 3 switch.
Puis j'ai entendu parler de VLAN, et je me suis dis que dans mon cas, ça me permettrait de prendre qu'un seul switch (je pensait à un ProCurve Switch 1800-24G) sur lequel je configurerait 3 plage de ports pour mes VLANs (genre 1-12/13-17/18-24). Ce serait possible ??
Mon fournisseur m'a dit que non, justement à cause du matériel qui doit aussi être compatible sur mes station.... (d'où ma question précédente).
Merci,
---
feature du hp -> http://www.hp.com/rnd/products/swi [...] atures.htm
Marsh Posté le 27-03-2008 à 13:52:37
Ton fournisseur s'est planté, les vlan servent explicitement à ça
Marsh Posté le 28-03-2008 à 14:32:41
Tu dis avoir 3 passerelles pour 3 sous-réseaux. Pourquoi ne pas avoir un seul routeur qui gére tes VLAN ? Ca serait plus simple tant au niveau de la configuration que de la maintenance.
Cette remarque est aussi valable pour tes switchs. Tu as raison d'acheter un seul switch, en supposant que tu aies suffisamment de ports pour relier tous tes postes.
Un schéma simple serait celui-ci:
routeur --- switch --- les postes des 3 sous-réseaux
Au niveau du routeur tu affectes un vlan par sous-réseaux, exemple:
- vlan10: 192.168.10.0/24
- vlan20: 192.168.20.0/24
- vlan30: 192.168.30.0/24
Au niveau du switch tu affecte un vlan par port, exemple:
- port2: vlan10
- port3: vlan10
- port4: vlan20
- port5: vlan30
Entre le routeur et le switch tu devra affecter un vlan spécial qui te permettra de véhiculer tous tes vlan (c'est un trunk).
Marsh Posté le 31-03-2008 à 12:16:51
+1 avec addyll
Et dans cette config, c'est ton routeur qui permettra d'éventuels dialogues entre les vlan (via le routage, qui peut être inter vlan ou ip).
Et à mon avis, ton fournisseur a confondu avec le protocole 802.1Q, qui est utilisé par les liaisons trunk, et qui véhicule les informations relatives aux vlan (infos VTP, etc ...). Si tu connectes un host (serveur par exemple) sur un port trunk, il faut que la carte réseau et le pilote supportent ce protocole, ce qui n'est pas forcément la cas.
Mais dans ton cas de figure tu n'as pas à te préoccuper de ça puisque tes hosts seront connectés sur des ports en mode access, pas en mode trunk.
Marsh Posté le 31-03-2008 à 13:15:07
Ok, je commence à comprendre...
Quelqu'un aurais une doc sur la matière, histoire d'approfondir un peu ??
Merci,
A+
Marsh Posté le 02-04-2008 à 00:19:55
Voilà 2 liens:
http://christian.caleca.free.fr/lansecure/vlans/
http://www.linux-france.org/prj/in [...] nter-vlan/
Amuse toi bien.
Marsh Posté le 02-04-2008 à 01:16:39
dreamer18 a écrit : ça marche comment le VLAN de niveau 3 quand t'es en DHCP ? |
cela fonctionne très bien.
Un cas concret :
tu as un reseau local de pc sous Xp tous pluggués dans un domaine 2003. Chaque station est en DHCP, et tu souhaites qu'en fonction du login utilisateur, la station se voit attribuer une ip qui la positionne dans un Vlan donné. Ainsi une personne faisant partie d'un groupe de sécurité X sous l'Active directory, ne verra que les ressources du VLan X et cela quelque soit la station de travail a laquelle la personne se signe.
Cette configuration fonctionne parfaitement avec des switch cisco (dans le cas de mon client des switch de la série 4500), un domaine sous 2003 (2003 enterprise) et un serveur de certificat fonctionnant sous 2003.
au moment de l'authentification (login/mot de passe), le switch Cisco interroge l'A.D. qui va lui renvoyer l'ID du Vlan associé au groupe de sécurité de l'utilisateur. Les trames sont alors tagguées avec le bon VLan et la négociation avec le serveur DHCP peut re-commencer. Celui-ci associera à cette station une IP de la bonne plage d'adresse du Vlan. (car il est possible de déclarer sous windows 2003, une plage d'adresse ip par Vlan dans les options du DHCP).
Marsh Posté le 02-04-2008 à 01:17:24
Zostere a écrit : Doit pas être très compliqué. Une trame Ethernet dans le switch est forcément dans un VLAN, donc quand elle ne répond à aucun des VLAN niv 3 du switch, elle sera placée dans un VLAN particulier, si le serveur DHCP est dans ce VLAN , il pourra y répondre, la machine récupère son IP et bascule dans le bon VLAN. |
Marsh Posté le 02-04-2008 à 05:33:04
ce que tu me racontes c'est du 802.1x avec av-pair et assignation automatique de vlan, pas du vlan de niveau 3 et c'est déconseillé par cisco si t'as pas de supplicant dédié d'ailleurs car il y a tout un tas de "race condition" au boot de windows qui fait qu'on ne peut pas garantir le bon fonctionnement à 100%
Marsh Posté le 02-04-2008 à 06:58:41
vrobaina a écrit : |
Et ? 802.1x. On voit que tu as bien compris la config de ton client, bravo. Ou tu vois un vlan niveau 3 la dedans ??
"(car il est possible de déclarer sous windows 2003, une plage d'adresse ip par Vlan dans les options du DHCP)"
unbelievable .. ils sont trop fort chez MS...
Marsh Posté le 02-04-2008 à 08:29:24
Si je ne me trompe pas, un Vlan de niveau 3 est un Vlan dynamique, qui dépend de l'adressage IP. Et dans le cas de mon client, c'est ce qui se passe ? non ??.
PS/ pour affecter un bon Vlan et la bonne IP a un client, si je ne m'abuse, on utilise l'option 82 (DHCP Relay) sur le serveur 2003.
Marsh Posté le 02-04-2008 à 08:30:43
le vlan est pas affecté en fonction de l'adresse de la machine mais du login/password du l'utilisateur, c'est pas du vlan de niveau 3 mais de l'AAA le vlan est fixe en fonction de l'adressage du réseau qui lui est associé
Marsh Posté le 02-04-2008 à 08:47:47
t'as vraiment rien compris a la config de ton client alors, c'est rassurant (surtout pour lui).
Dans ton cas, l'IP est attribuée en fonction du vlan (dhcp-relay / ip helper-address, comme tu veux) qui lui est attribué en fonction de l'auth user (802.1x / AAA)
Donc non, c'est pas ce qui se passe... non, les vlan layer3, c'est de la connerie encyclopédique
Marsh Posté le 02-04-2008 à 09:40:01
ok, je vais me coucher moins bête ce soir....
excusez moi de m'etre fourvoyer.
Marsh Posté le 02-04-2008 à 17:52:20
addyll a écrit : Voilà 2 liens: |
Merci beaucoup.
A+
Marsh Posté le 28-11-2008 à 23:05:06
addyll a écrit : Tu dis avoir 3 passerelles pour 3 sous-réseaux. Pourquoi ne pas avoir un seul routeur qui gére tes VLAN ? Ca serait plus simple tant au niveau de la configuration que de la maintenance. |
Qu'est que t'entend par vlan special, il suffit juste d'indiquer sur le port d'interconnexion que tous les trames de n'importe quel vlan peuvent passer (dmode trunk sur cisco, tagall sur nortel).
Je vois pas ce que ferai un vlan en plus
Marsh Posté le 28-11-2008 à 23:37:57
mort de rire, j'espère qu'en 8 mois de temps il a réussi à ressoudre son problème.
Marsh Posté le 09-03-2008 à 23:04:24
Bonjour afin d'essayer de voir plus claire,
Pour pouvoir separer plusieurs postes clients faut t'il creer des sous reseaux ou bien des VLAN ?.
Est ce que la gestion des reseaux peut'il se faire uniquement avec des VLAN ?
Quel est le plus efficace entre ces 2 methodes, sous reseau ou VLAN ?
Merci de vos reponses